U zou toch verwachten dat er ooit een moment zou moeten komen dat ik als blogger hard mijn best moet doen voor het vinden van interessante topics. Die dag gaat mogelijk nog komen, maar dat is zeker niet vandaag het geval. Zo laat Google zich van een zeer verontrustende kant zien, heeft een 21-jarige student uit het prachtige Utrecht een opvallend bijbaantje en sluiten we de week af met WordPress.
Tegenwoordig zie je steeds vaker dat ouders, zeker tweeverdieners, een oppas inhuren om de kids in de gaten te houden en te vermaken. Meestal is dit een meisje van een jaar of 16 die wat extra centen wil verdienen zodat ze vervolgens de Primark leeg kan kopen met de verdiende 20 euro. Helemaal niks mis mee, doen we al jaren. Maar wat zou uw reactie als ouder zijn wanneer Google zich ineens als ongevraagde babysitter gaat profileren. Dit heeft Google gedaan in de Amerikaanse staat New Mexico en leidde direct tot een aanklacht. Google had de kinderen van diverse scholen gratis Chromebooks cadeau gedaan. Hartstikke mooi gebaar, maar wederom blijkt dat enkel de zon voor niets opkomt. Want volgens de ingediende aanklacht gebruikt Google de “gratis” Chromebooks en daarop draaiende diensten van Google Education om allerlei gegevens van kinderen te verzamelen, zonder dat ouders hiervoor toestemming hebben gegeven en zonder dat dit duidelijk wordt gemaakt.
Middels deze software verzamelde Google onder andere locatiegegevens, bezochte websites, zoekopdrachten, adresboeken, opgeslagen wachtwoorden, bekeken YouTube-video’s, stemopnamen en praktisch alle andere gedragsgegevens. Nu is er in Amerika iets dat men de Children’s Online Privacy Protection Act (COPPA) noemt. Deze wet verplicht dat websites en online diensten die op kinderen zijn gericht, hun informatieverzameling duidelijk kenbaar maken en daarnaast toestemming van ouders krijgen alvorens er persoonlijke gegevens van kinderen onder de 13 jaar worden verzameld. Dit probeert Google dus te omzeilen met de zo genereus aangeboden gratis laptop en de bijbehorende Google Education software. Dit laatste wordt dus gewoon gebruikt om kinderen te monitoren. En dat u en ik door Google in de gaten worden gehouden, dat weten we en daar liggen we niet meer wakker van. Maar kinderen, dat is een heel ander verhaal, en wij vinden het toch een vervelende gedachte. Dat data zo belangrijk is anno 2020 dat je de fatsoensnorm links laat liggen en de online gedragingen van minderjarige gaat monitoren. Uiteraard ontkent Google elke aanklacht en claimt het dat scholen kunnen instellen dat ouders eerst toestemming moeten geven voordat een account kan worden gebruikt. Dit zou, in onze optiek, niet een optie moeten zijn maar een verplichting. Als represailles ga ik de rest van de dag Bing gebruiken, dat zal ze leren.
Dan door naar de mooiste stad van het land, de Domstad, stad van grachten en gezelligheid. Precies, Utrecht. Naast grachten en gezelligheid heeft Utrecht ook een Universiteit. En nu hoor ik u denken, “goh, weer een Universiteit het slachtoffer van malware?.” Nee, ditmaal gaat het om een 21-jarige student die er een opvallende bijbaan op na hield. Volgens het OM heeft deze jongeman tienduizenden euro’s aan Bitcoins verdiend door strafbare feiten. In de aanklacht wordt hij een ‘high level hacker’ en een ‘professioneel zakenman’ genoemd. Hij wordt verdacht van het vervaardigen- en verkopen van technische malware programma’s. Daarnaast had hij tientallen creditcardgegevens in zijn bezit wat kan duiden op creditcardfraude. De officier van justitie lijkt redelijk zeker van zijn zaak en kwam met de volgende uitspraak:
“De verdachte wist donders goed waarmee hij zich uit puur winstbejag bezighield en manifesteerde zich bewust op cybercriminele fora”
Nu het meest saillante detail van dit verhaal, de student informatiekunde is op 11 maart 2019 namelijk door politiemedewerkers in burger aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Ik zie dat persoonlijk als volgt voor me. Je zit met je brakke hoofd in de collegebanken en,terwijl je rustig wat malware zit te verkopen, probeer je je te bedenken hoeveel bier je gisteren op hebt. En dan plots duiken er twee volwassen mannen bovenop je waarvan je al dacht, toen je de collegezaal binnenliep, “joh, die zijn oud”. Vervolgens word je ten overstaan van je medestudenten en dat meisje waar je al een maand smoorverliefd op bent afgevoerd als een soort van vijand van de staat. Natuurlijk, wat hij gedaan heeft kan zeker niet door de beugel, en de eis van 18 maanden gevangenisstraf is dan ook niet meer dan terecht. Maar toch, het hele scenario heeft een komische ondertoon.
We eindigen deze week met WordPress. En niet omdat ze nou bijzonder positief in het nieuws zijn geweest de afgelopen dagen. Deze week kwamen er namelijk maar liefst 3 kwetsbaarheden boven water en we zetten ze graag even voor u op een rijtje. We raden u aan om de onderstaande kwetsbaarheden vandaag nog aan te pakken indien deze zich bij u voordoen.
1. Kwetsbaarheid in de plug-in Duplicator. Beheerders van ruim 1 miljoen (!) WordPress websites zijn gewaarschuwd voor deze kwetsbaarheid. Het advies is om deze plug-in, indien u die gebruikt, vandaag nog te updaten naar de nieuwste versie. Sinds 12 februari 2020 is deze update zo’n 260.000 keer gedownload, maar dat betekent dat nog ruim 700.000 websites een risico lopen.
2. Kwetsbaarheid in de “Theme Grill demo importer” plug-in. Onderzoekers van WebArx ontdekten een kwetsbaarheid waarmee een ongeauthenticeerde aanvaller de gehele database naar de standaard staat kan resetten, waarna de aanvaller automatisch als admin wordt ingelogd. Meer dan 300.00 websites maken gebruik van de themes, maar er is inmiddels een beveiligingsupdate vrijgegeven. Deze is te herkennen aan het versienummer 1.6.2.
3. Kwetsbaarheid in de plug-in ThemeRex. Via ThemeREX Addons is het mogelijk om ThemeREX-themes te beheren. Een kwetsbaarheid in de plug-in maakt het mogelijk voor aanvallers om op afstand code uit te voeren, waaronder code waarmee beheerders aan de website zijn toe te voegen. Zodoende kan de aanvaller een hele website overnemen. De plug-in is op ongeveer 45.000 websites geïnstalleerd. Het advies is om deze plug-in per direct te verwijderen.